Jak skonfigurować AWS Organizations?
W tym zadaniu dowiesz się jak skonfigurować AWS Organizations, aby móc w sposób przemyślany zarządzać swoimi kontamia AWS.
Dzięki tej usłudze będziesz w stanie sprawnie zarządzać swoją multi-accountową infrastruktura (uwierz mi, będziesz używać więcej niż jednego konta AWS).
Dodatkowo poznasz czym są Service Contro Policies, oraz jak dzielić konta na Organizations Unity.
Video tutorial
KROKI DO WYKONANIA TEGO ZADANIA
KROK 1: Włącznie AWS Organizations
Szybka sprawa, wystarczy kliknąć: Create an organization. W przypadku tej usługi nie wybierasz regionu, jest to serwis typu Global.
![](https://lukado.eu/wp-content/uploads/2023/07/cloudheroes_enable_organizations-1024x220.png)
KROK 2: Utworzenie dodatkowych kont AWS
Teraz w zależności od tego co chcesz robić, warto utworzyć kilka kont. Na początek polecam minimum:
- Konto na logi CloudTrail
- Konta użytkowe np. Developerskie itp.
Dla każdego konta potrzebujesz mieć oddzielny adres email.
![](https://lukado.eu/wp-content/uploads/2023/07/cloudheroes-add-account-1024x548.png)
KROK 3: Utworzenie Organization Unit (OU)
Warto od początku przemyśleć hierarchie kont. Być może na użytek własny nie jest to konieczne, jednak w przypadku wykorzystania projektowego może się to przydać.
W tym wypadku nie ma jednego podejścia. Na początek może wystarczy prosty podział funkcjonalny:
- OU-PROD
- OU-DEV
- OU-TEST
- OU-COMMON
W innym wypadku może być to np. podział per business unity, czy inne hierarchie, które powiązane są z firmowymi procesami, rozliczeniami itp.
![](https://lukado.eu/wp-content/uploads/2023/07/cloudheroes-add-ou-1024x654.png)
KROK 4: Konfiguracja Service Control Policies (SCP)
To Twoja dodatkowa broń w aspekcie bezpieczeństwa i określania poziomu dostępu do zasobów i usług. Scenariuszy zastosowania jest masa. W internecie możesz też znaleść wiele użytecznych przykładów jak np.:
- Kontrola Regionów w których uruchamiane będą zasoby,
- Określenie listy dostępnych usług AWS, które “dozwolone” są w ramach Twojej firmy,
- Kontrola typów serwerów jakie moga być uruchamiane,
- i wiele innych.
Poniżej przykład SCP, która zabrania opuszczenia naszej organizacji.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"organizations:LeaveOrganization"
],
"Resource": "*"
}
]
}
Polityka blokujące opuszczenie Organizacji.
KROK 5: Aktywacja usług na poziomie AWS Organizations.
Część usług może działać na poziomie całej organizacji w multi-accountowym środowisku.
Warto rozważyć, które z tych rozwiązań mogą być przydatne dla Ciebie.
![](https://lukado.eu/wp-content/uploads/2023/07/jak-skonfigurowac-aws-organization-1-1024x501.png)
Minimalnie na START warto włączyć:
- CloudTrail,
- CloudFormation StackSets
- AWS IAM Identity Center (AWS Single Sing-On)
BRAWO, Twoja Organizacja jest gotowa do działania
Dodatkowe Materiały
AWS Organizations Dokumentacja – https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html
Mutli-accoun for SMB – https://aws.amazon.com/blogs/mt/multi-account-strategy-for-small-and-medium-businesses/
Poprzednia
Następna